Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de los parámetros de control en Security Hub CSPM
Algunos controles de AWS Security Hub Cloud Security Posture Management (CSPM) utilizan parámetros que afectan a la forma en que se evalúa el control. Normalmente, estos controles se evalúan con respecto a los valores de los parámetros predeterminados que define Security Hub CSPM. Sin embargo, para un subconjunto de estos controles, puede modificar los valores de los parámetros. Al modificar el valor de un parámetro de control, Security Hub CSPM comienza a evaluar el control con respecto al valor que especifique. Si el recurso subyacente al control cumple con el valor personalizado, Security Hub CSPM genera un hallazgo. PASSED Si el recurso no cumple con el valor personalizado, Security Hub CSPM genera un FAILED hallazgo.
Al personalizar los parámetros de control, puede refinar las mejores prácticas de seguridad recomendadas y supervisadas por Security Hub CSPM para alinearlas con los requisitos empresariales y las expectativas de seguridad. En lugar de suprimir los resultados de un control, puede personalizar uno o varios de sus parámetros para obtener los resultados que se adapten a sus necesidades de seguridad.
Estos son algunos ejemplos de casos de uso para modificar los parámetros de control y establecer valores personalizados:
[CloudWatch.16]: los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico
Puede especificar el periodo de retención.
[IAM.7]: las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
Puede especificar parámetros relacionados con la seguridad de la contraseña.
-
[EC2.18] — Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados
Puede especificar qué puertos están autorizados para permitir el tráfico entrante sin restricciones.
-
[Lambda.5]: las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
Puede especificar el número mínimo de zonas de disponibilidad que generará un resultado válido.
En esta sección, se describen los aspectos que se deben tener en cuenta al modificar los parámetros de control.
Efecto de la modificación de los valores de parámetros de control
Al cambiar el valor de un parámetro, también se desencadena un nuevo control de seguridad que evalúa el control en función del nuevo valor. A continuación, Security Hub CSPM genera nuevos hallazgos de control en función del nuevo valor. Durante las actualizaciones periódicas de los hallazgos de control, Security Hub CSPM también utiliza el nuevo valor del parámetro. Si cambia los valores de los parámetros de un control, pero no ha activado ningún estándar que incluya el control, Security Hub CSPM no realizará ninguna comprobación de seguridad con los nuevos valores. Debe habilitar al menos un estándar relevante para que Security Hub CSPM evalúe el control en función del nuevo valor del parámetro.
Un control puede tener uno o varios parámetros personalizables. Entre los tipos de datos posibles para cada parámetro de control se encuentran los siguientes:
Booleano
Doble
Enum
EnumList
Entero
IntegerList
Cadena
StringList
Los valores personalizados de los parámetros se aplican a los estándares habilitados. No puede personalizar los parámetros de un control que no sea compatible en su región actual. Para obtener una lista de los límites regionales para los controles individuales, consulte Límites regionales de los controles CSPM de Security Hub.
En algunos controles, los valores de los parámetros aceptables deben estar dentro de un rango especificado para ser válidos. En estos casos, Security Hub CSPM proporciona el rango aceptable.
Security Hub CSPM elige los valores de los parámetros predeterminados y puede que los actualice de vez en cuando. Después de personalizar un parámetro de control, su valor sigue siendo el valor que especificó para el parámetro, a menos que lo cambie. Es decir, el parámetro detiene el seguimiento de las actualizaciones del valor CSPM predeterminado del Security Hub, incluso si el valor personalizado del parámetro coincide con el valor predeterminado actual definido por el CSPM del Security Hub. Este es un ejemplo del control [ACM.1]: los certificados importados y emitidos por ACM deben renovarse después de un periodo de tiempo específico:
{ "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 30 } } } }
En el ejemplo anterior, el parámetro daysToExpiration tiene un valor personalizado de 30. El valor predeterminado actual para este parámetro también es 30. Si Security Hub CSPM cambia el valor predeterminado a14, el parámetro de este ejemplo no rastreará ese cambio. Retendrá un valor de 30.
Si desea realizar un seguimiento de las actualizaciones del valor CSPM predeterminado de Security Hub para un parámetro, defina el ValueType campo DEFAULT en lugar de. CUSTOM Para obtener más información, consulte Reversión a los parámetros de control predeterminados en una sola cuenta y región.
Controles que admiten parámetros personalizados
Para obtener una lista de los controles de seguridad que admiten parámetros personalizados, consulte la página de controles de la consola CSPM de Security Hub o la. Referencia de control para Security Hub CSPM Para recuperar esta lista mediante programación, puede utilizar la operación ListSecurityControlDefinitions. En la respuesta, el objeto CustomizableProperties indica qué controles admiten parámetros personalizables.
